Applicare un criterio dell'organizzazione CMEK

Google Cloud offre due vincoli dei criteri dell'organizzazione per contribuire a garantire l'utilizzo di CMEK in un'organizzazione:

  • constraints/gcp.restrictNonCmekServices viene utilizzato per richiedere la protezione CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects viene utilizzato per limitare le chiavi Filestore utilizzate per la protezione CMEK.

I criteri dell'organizzazione CMEK si applicano solo alle risorse appena create all'interno dei servizi Google Cloud supportati.

Per una spiegazione più dettagliata del funzionamento, consulta la gerarchia delle risorse di Google Cloud e i criteri dell'organizzazione CMEK.

Controllare l'utilizzo di CMEK con i criteri dell'organizzazione

Filestore si integra con i limiti delle norme dell'organizzazione CMEK per consentirti di specificare i requisiti di conformità alla crittografia per le risorse Filestore nella tua organizzazione.

Questa integrazione ti consente di:

Le sezioni seguenti trattano entrambe queste attività.

Richiedi CMEK per tutte le risorse Filestore

Un criterio comune è richiedere l'utilizzo di CMEK per proteggere tutte le risorse di un'organizzazione. Puoi utilizzare la vincolo constraints/gcp.restrictNonCmekServices per applicare questa norma in Filestore.

Se impostato, questo criterio dell'organizzazione fa sì che tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata non vadano a buon fine.

Una volta impostato, questo criterio si applica solo alle nuove risorse del progetto. Le eventuali risorse esistenti senza chiavi Cloud KMS impostate continueranno a esistere e saranno accessibili senza problemi.

Console

  1. Apri la pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Nel campo Filtra, inserisci constraints/gcp.restrictNonCmekServices e poi fai clic su Limita i servizi che possono creare risorse senza CMEK.

  3. Fai clic su Gestisci criteri.

  4. Nella pagina Modifica criterio, seleziona Ignora criterio della risorsa padre.

  5. Seleziona Aggiungi una regola.

  6. In Valori criterio, seleziona Personalizzato.

  7. In Tipo di criterio, seleziona Rifiuta.

  8. Nel campo Valori personalizzati, inserisci is:file.googleapis.com.

  9. Fai clic su Fine, quindi su Imposta criteri.

gcloud

  1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
      spec:
        rules:
        - values:
            deniedValues:
            - is:file.googleapis.com
    

    Sostituisci PROJECT_ID con l'ID del progetto che vuoi utilizzare.

  2. Esegui il comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml
    

Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare un'istanza o un backup nel progetto. Il processo non va a buon fine a meno che non specifichi una chiave Cloud KMS.

Limitare le chiavi Cloud KMS per un progetto Filestore

Puoi utilizzare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects per limitare le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa in un progetto Filestore.

Potresti specificare una regola, ad esempio "Per tutte le risorse Filestore in projects/my-company-data-project, le chiavi Cloud KMS utilizzate in questo progetto devono provenire da projects/my-company-central-keys OPPURE projects/team-specific-keys".

Console

  1. Apri la pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Nel campo Filtra, inserisci constraints/gcp.restrictCmekCryptoKeyProjects e poi fai clic su Limita i progetti che possono fornire CryptoKey KMS per CMEK.

  3. Fai clic su Gestisci criteri.

  4. Nella pagina Modifica criterio, seleziona Ignora criterio della risorsa padre.

  5. Seleziona Aggiungi una regola.

  6. In Valori criterio, seleziona Personalizzato.

  7. In Tipo di criterio, seleziona Rifiuta.

  8. Nel campo Valori personalizzati, inserisci quanto segue:

    under:projects/KMS_PROJECT_ID
    

    Sostituisci KMS_PROJECT_ID con l'ID del progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.

    Ad esempio, under:projects/my-kms-project.

  9. Fai clic su Fine, quindi su Imposta criteri.

gcloud

  1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
      spec:
        rules:
        - values:
            allowedValues:
            - under:projects/KMS_PROJECT_ID
    

    Dove:

    • PROJECT_ID è l'ID del progetto che vuoi utilizzare.
    • KMS_PROJECT_ID è l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.
  2. Esegui il comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml
    

Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare un'istanza o un backup utilizzando una chiave Cloud KMS di un altro progetto. Il procedura non andrà a buon fine.

Limitazioni

Quando imposti un criterio dell'organizzazione, si applicano le seguenti limitazioni.

Disponibilità di CMEK

Ti ricordiamo che il supporto di CMEK non è disponibile per i livelli di servizio HDD base e SSD base. Dato il modo in cui sono definiti questi vincoli, se applichi un criterio dell'organizzazione che richiede l'utilizzo di CMEK e poi provi a creare un'istanza o un backup di livello base nel progetto associato, queste operazioni di creazione non andranno a buon fine.

Risorse esistenti

Le risorse esistenti non sono soggette ai criteri dell'organizzazione appena creati. Ad esempio, se crei un criterio dell'organizzazione che richiede di specificare un CMEK per ogni operazione create, il criterio non viene applicato in modo retroattivo alle istanze esistenti e alle catene di backup. Queste risorse sono ancora accessibili senza un CMEK. Se vuoi applicare il criterio alle risorse esistenti, che si tratti di istanze o catene di backup, devi sostituirle.

Autorizzazioni richieste per impostare una norma dell'organizzazione

L'autorizzazione per impostare o aggiornare il criterio dell'organizzazione potrebbe essere difficile da acquisire per scopi di test. Devi disporre del ruolo Amministratore criteri dell'organizzazione, che può essere concesso solo a livello di organizzazione.

Sebbene il ruolo debba essere concesso a livello di organizzazione, è comunque possibile specificare un criterio che si applichi solo a un progetto o a una cartella specifici.

Impatto della rotazione della chiave Cloud KMS

Filestore non ruota automaticamente la chiave di crittografia di una risorsa quando viene ruotata la chiave Cloud KMS associata alla risorsa.

  • Tutti i dati nelle istanze e nei backup esistenti continuano a essere protetti dalla versione della chiave con cui sono stati creati.

  • Eventuali istanze o backup appena creati utilizzano la versione della chiave primaria specificata al momento della loro creazione.

Quando ruoti una chiave, i dati criptati con le versioni precedenti della chiave non vengono nuovamente criptati. Per criptare i dati con la versione più recente della chiave, devi decriptare la versione precedente della chiave dalla risorsa, quindi criptare nuovamente la stessa risorsa con la nuova versione della chiave. Inoltre, la rotazione di una chiave non disattiva o elimina automaticamente le versioni delle chiavi esistenti.

Per istruzioni dettagliate su come eseguire ciascuna di queste attività, consulta le seguenti guide:

Accesso di Filestore alla chiave Cloud KMS

Una chiave Cloud KMS è considerata disponibile e accessibile da Filestore alle seguenti condizioni:

  • La chiave sia attivata
  • L'account di servizio Filestore dispone delle autorizzazioni di crittografia e decrittografia per la chiave

Passaggi successivi